KR102059688B1 - Cyber blackbox system and method thereof - Google Patents

Cyber blackbox system and method thereof Download PDF

Info

Publication number
KR102059688B1
KR102059688B1 KR1020150006016A KR20150006016A KR102059688B1 KR 102059688 B1 KR102059688 B1 KR 102059688B1 KR 1020150006016 A KR1020150006016 A KR 1020150006016A KR 20150006016 A KR20150006016 A KR 20150006016A KR 102059688 B1 KR102059688 B1 KR 102059688B1
Authority
KR
South Korea
Prior art keywords
data
file
packet data
cyber
extracted
Prior art date
Application number
KR1020150006016A
Other languages
Korean (ko)
Other versions
KR20160087187A (en
Inventor
김종현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150006016A priority Critical patent/KR102059688B1/en
Priority to US14/937,498 priority patent/US20160205118A1/en
Publication of KR20160087187A publication Critical patent/KR20160087187A/en
Application granted granted Critical
Publication of KR102059688B1 publication Critical patent/KR102059688B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

사이버 블랙 시스템이 개시된다. 이 시스템은, 모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부 및 상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함한다.A cyber black system is disclosed. The system includes a data collector for collecting entire packet data, flow data, and portable executable files from monitored network traffic, and the collected cyber packet incidents based on the collected total packet data, flow data, and PE files. A server for analyzing the cause and reproducing the cyber infringement incident.

Description

사이버 블랙박스 시스템 및 그 방법{CYBER BLACKBOX SYSTEM AND METHOD THEREOF}Cyber black box system and method thereof {CYBER BLACKBOX SYSTEM AND METHOD THEREOF}

본 발명은 사이버 블랙박스 시스템 및 그 방법에 관한 것으로서, 상세하게는, 사이버 침해 사고의 원인을 분석하고, 상기 사이버 침해 사고에 대한 증거 데이터를 수집할 수 있는 사이버 블랙박스 시스템 및 그 방법에 관한 것이다.
The present invention relates to a cyber black box system and a method thereof, and more particularly, to a cyber black box system and a method for analyzing the cause of a cyber infringement incident and collecting evidence data on the cyber infringement incident. .

네트워크 보안 분야에서 언급되는 사이버 침해 사고(이하, 침해 사고)는 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 사이버 공격이 발생한 상황을 말한다.Cyber infringement incidents (hereinafter referred to as infringement incidents) in the field of network security include cyber attacks that attack the telecommunications network or related information systems by hacking, computer viruses, logical bombs, e-mail bombs, denial of service or high-power electromagnetic waves. Say the situation.

종래의 사이버 공격에 대한 대응은 로그 분석 위주로 행해지기 때문에 신속한 원인 분석과 사후 대응에 한계가 있다. 더욱이 침해 사고가 발생한 이후에는 공격 원인 분석에 필요한 로그 정보가 존재하지 않기 때문에 공격에 대한 원인 분석이 어렵다. 즉, 침해 사고를 인지한 후에도 공격 원인을 알 수 없기 때문에, 사후 대응에 한계가 있다.Since the conventional cyber attack is mainly focused on log analysis, there is a limit to rapid cause analysis and post response. Moreover, after the breach occurred, it is difficult to analyze the cause of the attack because there is no log information necessary to analyze the cause of the attack. That is, even after recognizing the infringement accident, the cause of the attack cannot be known, so there is a limit in the post-response.

또한 지능형 지속 위협(APT: Advanced Persistent Threats)과 같은 진화된 사이버 공격은 원인 분석에만 수 개월 이상의 기간이 소요되고, 기존의 보안 장비로 탐지가 어렵다.
In addition, evolved cyber attacks, such as Advanced Persistent Threats (APTs), require more than a few months of root cause analysis and are difficult to detect with traditional security devices.

따라서 본 발명의 목적은 침해사고가 발생한 경우, 신속하게 침해 사고의 원인을 분석하고, 침해 사고에 대한 증거 데이터의 수집 기능을 제공할 수 있는 사이버 블랙박스 시스템 및 그 방법을 제공하는 데 있다.
Accordingly, it is an object of the present invention to provide a cyber black box system and a method capable of promptly analyzing the cause of an infringement incident and providing a collection function of evidence data on the infringement incident.

상술한 목적을 달성하기 위한 본 발명의 일면에 따른 사이버 침해 사고에 대한 증거 데이터 수집방법은 모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 단계와, 상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터의 묶음을 플로우 데이터로서 추출하는 단계와, 상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터의 묶음을 PE 파일로 추출하는 단계와, 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 버퍼에 임시 저장하여 수집하는 단계와, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각에 해쉬 함수를 적용하여 해쉬값을 생성하는 단계 및 상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장부에 저장하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of collecting evidence data for a cyber infringement incident, extracting entire packet data from monitored network traffic, and extracting the entire packet data for each IP, port, and protocol. Analyzing and extracting a bundle of packet data having the same characteristics as flow data, extracting a bundle of packet data having a Portable Executable (PE) format from the extracted entire packet data into a PE file, and Temporarily storing the entire packet data, the flow data, and the PE file in a buffer, generating a hash value by applying a hash function to each of the temporarily stored total packet data, the flow data, and the PE file; The generated hash value, the temporarily stored total packet data, and the flow Storing the data and the PE file as the evidence data in a storage unit.

본 발명의 다른 일면에 따른 사이버 블랙 시스템은, 모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부 및 상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함한다.
According to another aspect of the present invention, a cyber black system includes a data collector for collecting entire packet data, flow data, and portable executable files from monitored network traffic, and the collected total packet data, flow data, and PE files. And analyzing the cause of the cyber infringement based on the server and reproducing the cyber infringement incident.

본 발명에 따르면, 본 발명은 네트워크 트래픽으로터 수집된 증거 데이터를 장기간 보존하고, 수집된 증거 데이터에 대한 무결성을 확보함으로써, 종래의 사이버 공격에 대한 대응 기술의 한계점을 해결하고, 침해사고의 증거 데이터 수집과 신속한 원인분석을 가능하게 해줄 수 있다.
According to the present invention, the present invention solves the limitations of the conventional technology for responding to cyber attacks by preserving the evidence data collected from the network traffic for a long time and ensuring the integrity of the collected evidence data, and proof of the infringement accident. It can enable data collection and rapid cause analysis.

도 1은 본 발명의 일 실시 예에 따른 블랙박스 시스템의 내부 구성을 개략적으로 보여주는 블록도이다.
도 2는 도 1에 도시된 데이터 수집부에서 수집되는 증거 데이터를 도식적으로 보여주는 도면이다.
도 3은 도 1에 도시된 데이터 수집부의 내부 구성을 개략적으로 보여주는 블록도이다.
도 4는 도 1에 도시된 서버의 내부 구성을 개략적으로 보여주는 블록도이다.
도 5는 도 2에 도시된 데이터 수집부에서 수행되는 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정을 보여주는 순서도이다.1 is a block diagram schematically showing the internal configuration of a black box system according to an embodiment of the present invention.
FIG. 2 is a diagram schematically showing evidence data collected by the data collector illustrated in FIG. 1.
FIG. 3 is a block diagram schematically illustrating an internal configuration of the data collector illustrated in FIG. 1.
4 is a block diagram schematically illustrating an internal configuration of the server illustrated in FIG. 1.
FIG. 5 is a flowchart illustrating a process of collecting and storing preserved data included in evidence data performed by the data collector illustrated in FIG. 2.

본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, advantages and features of the present invention, and methods of achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings.

그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 목적, 구성 및 효과를 용이하게 알려주기 위해 제공되는 것일 뿐으로서, 본 발명의 권리범위는 청구항의 기재에 의해 정의된다. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, and only the following embodiments are provided to those skilled in the art to which the present invention pertains. It is merely provided to easily inform the configuration and effects, the scope of the present invention is defined by the description of the claims.

한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자가 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가됨을 배제하지 않는다.Meanwhile, the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase. As used herein, “comprises” and / or “comprising” refers to the presence of one or more other components, steps, operations and / or devices in which the mentioned components, steps, operations and / or devices are described. Or does not exclude addition.

도 1은 본 발명의 일 실시 예에 따른 블랙박스 시스템의 내부 구성을 개략적으로 보여주는 블록도이고, 도 2는 도 1에 도시된 데이터 수집부에서 수집되는 증거 데이터를 도식적으로 보여주는 도면이다.FIG. 1 is a block diagram schematically showing an internal configuration of a black box system according to an embodiment of the present invention, and FIG. 2 is a diagram schematically showing evidence data collected by the data collector shown in FIG. 1.

도 1을 참조하면, 본 발명의 일 실시 예에 따른 블랙박스 시스템(300)은 증거 데이터를 수집하는 데이터 수집부(100)와 상기 데이터 수집부(100)에 의해 수집된 증거 데이터를 이용하여 침해사고의 원인을 분석하고, 재현하는 서버(200)를 포함한다.Referring to FIG. 1, the black box system 300 according to an embodiment of the present invention infringes by using the data collector 100 collecting evidence data and the evidence data collected by the data collector 100. It includes a server 200 for analyzing and reproducing the cause of the accident.

상기 데이터 수집부(100)에서 수집되는 증거 데이터(11)는 도 2에 도시된 바와 같이, 관리 데이터(13)와 보존 데이터(15)를 포함한다. The evidence data 11 collected by the data collection unit 100 includes management data 13 and preservation data 15, as shown in FIG. 2.

관리 데이터(13)는 상기 보존 데이터(15)를 인덱싱 하는 요약 데이터(13A)와 상기 데이터 수집부(100)의 자원 상태를 나타내는 시스템 로그 데이터(13B)를 포함한다.The management data 13 includes summary data 13A indexing the preservation data 15 and system log data 13B indicating the resource status of the data collection unit 100.

보존 데이터(15)는, 상기 관리 데이터(13)와는 다르게, 상기 데이터 수집부(100)에서 장기간 보존되도록 설정된 데이터로서, 상기 네트워크 트래픽을 구성하는 전체 네트워크 패킷 데이터(15A, 이하, 전체 패킷 데이터), 상기 전체 패킷 데이터(15A)로부터 추출되는 플로우 데이터(15B), 상기 전체 패킷 데이터(15A)로부터 추출되는 실행(Portable Executable: PE) 파일(15C) 및 상기 PE 파일(15C)과 관련된 메타 데이터(15D)를 포함한다. 여기서, 상기 보존 데이터(15)는 전체 패킷 데이터(15A), 상기 플로우 데이터(15B) 및 상기 실행(Portable Executable: PE) 파일(15C) 각각의 무결성을 보장하는 해쉬값을 더 포함할 수 있다. 여기서, PE 파일은 윈도우 운영체제에서 실행되는 실행 파일로서, cp, exe, dll, ocx, vxd, sys, scr, drv 등의 확장자를 갖는 파일 등을 예로 들 수 있다.Unlike the management data 13, the save data 15 is data set to be stored for a long time in the data collection unit 100, and includes all network packet data 15A (hereinafter, all packet data) constituting the network traffic. Flow data 15B extracted from the entire packet data 15A, a portable executable file (PE) 15C extracted from the entire packet data 15A, and metadata associated with the PE file 15C ( 15D). The preservation data 15 may further include a hash value that guarantees the integrity of each of the entire packet data 15A, the flow data 15B, and the portable executable file PE. Here, the PE file is an executable file that is executed in the Windows operating system, for example, a file having an extension of cp, exe, dll, ocx, vxd, sys, scr, drv, or the like.

서버(200)는, 침해사고가 발생 시, 상기 데이터 수집부(100)에서 수집한 증거 데이터(11)를 상기 데이터 수집부(100)에게 요청하고, 상기 요청에 따라 상기 데이터 수집부(100)로부터 전달받은 증거 데이터(11)를 이용하여 상기 침해사고의 원인 및 상기 침해사고를 유발한 사이버 공격을 재현하도록 구성된다. 또한 서버(200)는 상기 침해사고의 원인을 분석한 분석결과를 외부 사이버 보안 관제 시스템(도면에 도시되지 않음)에 제공하도록 구성될 수 있다.When an infringement occurs, the server 200 requests the data collection unit 100 for evidence data 11 collected by the data collection unit 100, and the data collection unit 100 according to the request. It is configured to reproduce the cause of the breach and the cyber attack causing the breach using the evidence data 11 received from the. In addition, the server 200 may be configured to provide an analysis result of analyzing the cause of the breach to an external cyber security control system (not shown).

이하, 도 1에 도시된 데이터 수집부(100) 에 대해 상세 기술한다.Hereinafter, the data collection unit 100 shown in FIG. 1 will be described in detail.

도 3은 도 1에 도시된 데이터 수집부의 내부 구성을 개략적으로 보여주는 블록도이다.FIG. 3 is a block diagram schematically illustrating an internal configuration of the data collector illustrated in FIG. 1.

도 3을 참조하면, 본 발명의 일 실시 예에 따른 데이터 수집부(100)는 네트워크 패킷 미러링부(111), 패킷 추출부(113), 플로우 데이터 추출부(115), PE 파일 추출부(117), 버퍼(119), 해쉬값 생성부(121), 관리 데이터 생성부(123), 인코딩부(125) 및 저장부(127)를 포함한다.Referring to FIG. 3, the data collector 100 according to an exemplary embodiment may include a network packet mirroring unit 111, a packet extraction unit 113, a flow data extraction unit 115, and a PE file extraction unit 117. ), A buffer 119, a hash value generating unit 121, a management data generating unit 123, an encoding unit 125, and a storage unit 127.

네트워크 패킷 미러링부(111)는 네트워크 트래픽을 모니터링 하는 구성으로서, 네트워크 인터페이스 카드(NIC, Network Interface Card)와 같은 네트워크 통신 장비일 수 있다.The network packet mirroring unit 111 is a configuration for monitoring network traffic and may be a network communication device such as a network interface card (NIC).

네트워크 패킷 미러링부(110)는 패킷 미러링 방식을 이용하여 네트워크 트래픽을 모니터링한다. 패킷 미러링은 포트 미러링(Port Mirroring)으로 불리우기도 한다. 포트 미러링은 NIC의 어느 한 포트 상에서 보여지는(seen) 모든 네트워크 트래픽을 NIC의 다른 모니터링 포트(another monitoring port)에 복제(copy)함을 의미한다. The network packet mirroring unit 110 monitors network traffic using a packet mirroring scheme. Packet mirroring is also called port mirroring. Port mirroring means copying all network traffic seen on one port of the NIC to another monitoring port of the NIC.

패킷 추출부(113)는 네트워크 패킷 미러링부(110)에 의해 복제된 네트워크 트래픽으로부터 전체 패킷 데이터를 추출한다. 추출된 전체 패킷 데이터는 버퍼(119)에 임시 저장된다. 이때, 추출된 전체 패킷 데이터는 일정한 시간 단위로 특정 파일 형태로 묶여져 상기 버퍼(119)에 임시 저장될 수 있다. 여기서, 특정 파일 형태는 PCAP(Packet CAPture)포맷 형태의 파일일 수 있다.The packet extracting unit 113 extracts the entire packet data from the network traffic replicated by the network packet mirroring unit 110. The extracted whole packet data is temporarily stored in the buffer 119. In this case, the extracted whole packet data may be bundled in a specific file form in a predetermined time unit and temporarily stored in the buffer 119. In this case, the specific file type may be a file having a packet capture (PCAP) format.

플로우 데이터 추출부(115)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터로부터 플로우 데이터를 추출한다. 플로우 데이터를 추출하는 방식으로, 예컨대, 패킷 추출부(113)에서 추출된 모든 패킷 데이터를 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터를 일정 시간 단위로 수집하고, 일정 시간 단위로 수집된 패킷 데이터를 상기 PCAP 포맷의 특정 파일로 묶어 하나의 플로우 데이터(또는 플로우 패킷)를 추출한다. The flow data extractor 115 extracts flow data from all packet data extracted by the packet extractor 113. As a method of extracting flow data, for example, all packet data extracted by the packet extracting unit 113 are analyzed for each IP, port, and protocol to collect packet data having the same characteristics in units of a predetermined time, and collected in units of a predetermined time. The collected packet data into a specific file of the PCAP format to extract one flow data (or flow packet).

플로우 데이터를 추출하는 다른 방식으로는, 확률론적(Deterministic) 패킷 샘플링 방식을 이용하여 전체 패킷 데이터 중 일정 비율의 패킷을 샘플링하여 플로우 데이터를 추출할 수 있다. As another method of extracting flow data, flow data may be extracted by sampling a predetermined ratio of packets among all packet data by using a deterministic packet sampling scheme.

추출된 플로우 데이터는 버퍼(119)에 임시 저장된다.The extracted flow data is temporarily stored in the buffer 119.

PE 파일 추출부(117)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터로부터 PE 파일을 추출한다. 예컨대, PE 파일 추출부(117)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터 내에서 PE 파일 정보(또는 PE 포맷)를 갖는 패킷들을 선별하고, 선별된 PE 파일 정보를 갖는 모든 패킷들을 수집한 후, 수집된 PE 파일 정보를 갖는 모든 패킷들을 1개의 PE 파일로 재조립(또는 재구성)하는 방식으로 추출한다. 이렇게 추출된 PE 파일은 상기 버퍼(119)에 임시 저장된다. 또한 PE 파일 추출부(117)는 추출된 PE 파일에 대한 메타 데이터를 생성할 수 있다. The PE file extractor 117 extracts a PE file from all packet data extracted by the packet extractor 113. For example, the PE file extractor 117 selects packets having PE file information (or PE format) in all packet data extracted by the packet extractor 113, and collects all packets having the selected PE file information. Then, all packets with the collected PE file information are extracted by reassembling (or reconfiguring) into one PE file. The extracted PE file is temporarily stored in the buffer 119. In addition, the PE file extractor 117 may generate metadata about the extracted PE file.

해쉬값 생성부(121)는 상기 버퍼(119)에 저장된 전체 패킷 데이터, 플로우 데이터, PE 파일 각각에 대한 데이터 무결성을 보장하기 위해, 각각에 해쉬 함수를 적용하여 해쉬값을 생성한다. 생성된 해쉬값은 저장부(127)에 저장되어 장기적으로 보존된다.The hash value generator 121 generates a hash value by applying a hash function to each in order to ensure data integrity of each of packet data, flow data, and PE file stored in the buffer 119. The generated hash value is stored in the storage unit 127 and stored for a long time.

관리 데이터 생성부(123)는 도 2에 도시된 바와 같은 요약 데이터 및 시스템 로그 데이터를 포함하는 관리 데이터를 생성한다. The management data generation unit 123 generates management data including summary data and system log data as shown in FIG. 2.

요약 데이터는 도 2에 도시된 보존 데이터로 분류되는 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각을 요약한 데이터로서, 예컨대, 사이버 공격으로 추정되는 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각의 발생 시간 또는 탐지 시간, 상기 사이버 공격으로 추정된 IP 주소, 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각을 파일 형태로 저장할 때, 각각의 파일 이름 정보 등을 포함할 수 있다.The summary data is data summarizing each of the entire packet data, the flow data, and the PE file classified as the preservation data shown in FIG. When storing the detection time, the IP address estimated by the cyber attack, the entire packet data, the flow data, and the PE file in the form of a file, each file name information may be included.

이러한 요약 데이터는 서버(200)로 전달되어 통계 정보로 이용될 수 있다. 요약 데이터가 통계 정보로 사용되는 경우, 통계 정보는 서버(200)에 구비된 GUI를 통해 비정상/유해 트래픽 발생 현황 및 추이를 서버 관리자에게 시각적으로 제공하는 정보로 사용될 수 있다. 또한 요약 데이터는 서버(200)에서 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 검색 시, 해당 자료를 검색하기 위한 인덱싱 값으로 사용될 수도 있다.Such summary data may be transferred to the server 200 and used as statistical information. When the summary data is used as statistical information, the statistical information may be used as information that visually provides the server administrator with the status and trend of abnormal / harmful traffic generation through a GUI provided in the server 200. In addition, the summary data may be used as an indexing value for searching the corresponding data when searching the entire packet data, the flow data, and the PE file in the server 200.

시스템 로그 데이터는 데이터 수집부(100)의 시스템 상태를 나타내는 데이터로서, 예컨대, 데이터 수집부(100)를 구성하는 CPU, 메모리 및 디스크의 사용률을 의미하는 데이터를 의미한다.The system log data is data representing a system state of the data collecting unit 100, and means data indicating, for example, utilization rates of the CPU, memory, and disk constituting the data collecting unit 100.

이러한 요약 데이터 및 시스템 로그 데이터를 포함하는 관리 데이터는 서버(200)의 요청에 따라 주기적으로 보고될 수 있다. 이러한 보고 주기는 서버(200)에 의해 설정될 수 있다. Management data including such summary data and system log data may be periodically reported at the request of the server 200. This reporting period may be set by the server 200.

인코딩부(125)는 버퍼(119)에 PCAP 포맷 형태의 파일로 저장된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 인코딩한다.The encoding unit 125 encodes the entire packet data, the flow data, and the PE file stored in the file in the PCAP format in the buffer 119.

저장부(127)는 상기 인코딩부(125)에 의해 상기 파일 단위로 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 보존 데이터로서 저장한다. 또한 저장부(127)는 해쉬값 생성부에서 생성된 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각에 대한 해쉬값을 전달받아서 이를 증거 데이터로서 저장할 수 있다. 또한 저장부(127)는 PE 파일 추출부에서 생성된 PE 파일에 대한 메타 데이터를 전달받아서 이를 증거 데이터로서 저장할 수 있다.The storage unit 127 stores the entire packet data, the flow data, and the PE file encoded in the file unit by the encoding unit 125 as storage data. In addition, the storage unit 127 may receive the hash value for each packet data, flow data, and PE file generated by the hash value generator, and store the hash value as evidence data. In addition, the storage unit 127 may receive meta data about the PE file generated by the PE file extraction unit and store it as evidence data.

이러한 저장부(127)는 WORM(Write Once Read Many)기능을 지원하는 저장소일 수 있다. WORM 기능을 지원하는 저장부(127)는 CD-ROM과 같이, 한번 쓰고, 여러 번 읽기만 제공하는 저장 매체로 이해될 수 있다. 따라서, 상기 저장부(127)는 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 장기가 보존할 수 있다.The storage unit 127 may be a storage supporting a write once read many (WORM) function. The storage unit 127 supporting the WORM function may be understood as a storage medium that writes only once and reads only several times, such as a CD-ROM. Therefore, the storage unit 127 may store the entire packet data, the flow data, and the PE file for a long time.

상기 저장부(127)에 저장된 상기 파일 단위로 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일은 서버(200)의 요청에 따라 서버(200)에 제공된다. 즉, 침해사고가 발생한 경우 또는 그 밖의 필요한 상황이 발생한 경우, 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일은 침해사고의 원인 분석 및 재현을 위해, 관리 데이터 및 보존 데이터 중 적어도 하나를 포함하는 증거 데이터를 서버(200)에 제공된다.The entire packet data, flow data, and PE file encoded in the file unit stored in the storage unit 127 are provided to the server 200 at the request of the server 200. That is, in the event of an infringement or other necessary situation, the entire encoded packet data, flow data, and PE file contain at least one of management data and preservation data for the purpose of analyzing and reproducing the cause of the infringement. The data is provided to the server 200.

이하, 도 1에 도시된 서버(200)에 대해 상세 기술한다.Hereinafter, the server 200 shown in FIG. 1 will be described in detail.

도 4는 도 1에 도시된 서버의 내부 구성을 개략적으로 보여주는 블록도이다.4 is a block diagram schematically illustrating an internal configuration of the server illustrated in FIG. 1.

도 4을 참조하면, 서버(200)는 데이터 수집부(100)로부터 제공되는 증거 데이터를 이용하여 침해사고의 원인을 분석하고, 이를 재현한다.Referring to FIG. 4, the server 200 analyzes the cause of the infringement accident using the evidence data provided from the data collecting unit 100 and reproduces the cause of the infringement accident.

이를 위해, 서버(200)는 관리 데이터 수집부(210), 디코딩부(220), 원인 분석 및 재현부(230) 및 외부 시스템 연동부(240)를 포함한다.To this end, the server 200 includes a management data collector 210, a decoder 220, a cause analysis and reproduction unit 230, and an external system interworking unit 240.

관리 데이터 수집부(210)는 아래의 원인분석 및 재현부(230)의 관리 데이터에 대한 요청에 따라 관리 데이터를 제공받아서, 이를 수집한다. 이때, 특별한 요청 없이, 원인분석 및 재현부(230)에서 설정한 보고 주기에 따라 주기적으로 상기 관리 데이터를 제공받아서 수집할 수도 있다. The management data collector 210 receives management data according to a request for management data of the cause analysis and reproduction unit 230 below and collects the management data. In this case, the management data may be periodically collected and collected according to the report period set by the cause analysis and reproducing unit 230 without a special request.

디코딩부(220)는 데이터 수집부(100)의 저장부(127)에 인코딩된 상태로 저장된(또는 보존된) 전체 패킷 데이터, 플로우 데이터, PE 파일 및 상기 PE 파일과 관련된 메타 데이터를 전달받아서, 이들을 디코딩한다.The decoding unit 220 receives the entire packet data, the flow data, the PE file, and the metadata associated with the PE file, which are stored (or preserved) in an encoded state in the storage unit 127 of the data collection unit 100, Decode them.

원인분석 및 재현부(230)는 디코딩된 전체 패킷 데이터, 플로우 데이터, PE 파일 및 상기 PE 파일과 관련된 메타 데이터를 포함하는 보존 데이터 및 요약 데이터와 시스템 로그 데이터를 포함하는 관리 데이터를 데이터 수집부(100)에게 요청할 수 있다.The cause analyzing and reproducing unit 230 collects the data including the decoded entire packet data, the flow data, the PE file, and the management data including the summary data and the system log data including the preservation data including the meta data related to the PE file. ) Can be requested.

구체적으로, 원인분석 및 재현부(230)는 데이터 수집부(100)의 저장부(127)에 접근하여 요약 데이터에 인덱싱된 해당 보존 데이터를 검색하고, 해당 보존 데이터가 검색되면, 검색된 해당 보존 데이터를 요청한다.In detail, the cause analysis and reproducing unit 230 accesses the storage unit 127 of the data collection unit 100 to retrieve the corresponding preservation data indexed to the summary data, and when the preservation data is retrieved, the retrieved preservation data is retrieved. request.

원인분석 및 재현부(230)는 요청에 따라 상기 검색된 해당 보존 데이터를 전달받으면, 전달받은 해당 보존 데이터를 이용하여 침해사고의 원인을 분석하고, 침해사고를 유발한 사이버 공격을 재현한다.When the cause analysis and reproducing unit 230 receives the retrieved corresponding preserved data on request, the cause analysis and reproduction unit 230 analyzes the cause of the infringement accident using the received stored data and reproduces the cyber attack causing the infringement accident.

원인분석 및 재현부(230)는 침해사고의 원인을 분석한 분석 결과를 GUI를 통해 제공자에게 다양한 시각적인 정보로 제공할 수 있다.The cause analysis and reproducing unit 230 may provide a variety of visual information to a provider through a GUI through the analysis result analyzing the cause of the infringement accident.

사이버의 공격의 재현은 사이버 공격 시점에 수집된 증거 데이터를 기반으로 사이버 공격 시나리오 예컨대, 공격 시간, 공격을 가한 IP 주소 등을 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하고, 구성된 공격 시나리오에 따라 해당 침해 사고를 재현할 수 있다.Reproduction of cyber attacks is based on evidence data collected at the time of cyber attack, extracting cyber attack scenarios such as attack time, attacked IP address, and constructing attack scenarios based on the extracted information. The incident can be reproduced accordingly.

한편, 침해 사고의 원인 분석 결과는 외부 연동 시스템(240)을 통해 외부 시스템에 제공될 수 있다. 원인 분석 결과는 인증된 외부 시스템에 제공되도록 그 제공이 제한될 수 있다. 즉, 외부 연동 시스템(240)은 외부 시스템에 보안 등급을 설정할 수 있고, 설정된 보안 등급에 따라 적절한 권한을 부여할 수 있다. 외부 시스템은 보안 업체, 공공 기관, 포털 업체, 일반 회사 등에 구비된 보완 관련 시스템일 수 있다.On the other hand, the cause analysis result of the infringement incident may be provided to the external system through the external interlocking system 240. The cause analysis result may be limited in its provision to be provided to an authorized external system. That is, the external interworking system 240 may set a security level on the external system, and may grant appropriate authority according to the set security level. The external system may be a supplementary related system provided in a security company, a public institution, a portal company, or a general company.

도 5는 도 2에 도시된 데이터 수집부에서 수행되는 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정을 보여주는 순서도이다.FIG. 5 is a flowchart illustrating a process of collecting and storing preserved data included in evidence data performed by the data collector illustrated in FIG. 2.

도 5를 참조하면, 먼저, 패킷 추출부(113)에서, 패킷 미러링부(111)에 의해 모니터링된 네트워크 트래픽으로부터 전체 패킷 데이터, 플로우 데이터 및 PE 파일 등을 포함하는 증거 데이터를 수집하는 데이터 수집 과정이 수행된다(S510). 수집된 증거 데이터는 버퍼(119)에 임시 저장된다.Referring to FIG. 5, first, the packet extracting unit 113 collects evidence data including entire packet data, flow data, and PE files from network traffic monitored by the packet mirroring unit 111. This is performed (S510). The collected evidence data is temporarily stored in the buffer 119.

이어, 버퍼에 저장되는 증거 데이터의 수집 시간이 사전에 설정된 저장 시간을 만족하는지 여부를 판단하는 과정이 수행된다(S520). Subsequently, a process of determining whether a collection time of evidence data stored in a buffer satisfies a preset storage time is performed (S520).

증거 데이터의 수집 시간이 사전에 설정된 수집 시간에 도달하면, 다음 단계(S530)로 진행되고, 도달하지 못하면, 사전에 설정된 저장 시간에 도달할 때까지 증거 데이터의 수집을 계속한다. 증거 데이터의 수집 시간이 1분 단위로 설정된 경우, 버퍼(119)에 실시간으로 수집되는 증거 데이터는 1분 단위로 묶여진다. 이때, 1분 단위로 묶여진 증거 데이터의 묶음은 PCAP 포맷 형태와 같은 특정 파일로 저장된다.When the collection time of the evidence data reaches the preset collection time, the process proceeds to the next step S530. If the collection time does not reach, the collection of the evidence data is continued until the preset storage time is reached. When the collection time of evidence data is set in one minute unit, the evidence data collected in real time in the buffer 119 is bundled in one minute unit. In this case, the bundle of evidence data bundled in one minute unit is stored in a specific file such as PCAP format.

이어, 사전에 설정된 수집 시간 동안 수집된 증거 데이터에 대한 데이터 무결성을 보장하기 위하여 해쉬값을 생성하는 과정이 수행된다(S530). Subsequently, a process of generating a hash value is performed in order to ensure data integrity of the evidence data collected during a preset collection time (S530).

이어, 사전에 설정된 수집 시간 동안 수집된 증거 데이터를 상기 특정 파일 단위로 인코딩하는 과정이 수행된다(S540).Subsequently, a process of encoding the evidence data collected for a predetermined collection time in units of the specific file is performed (S540).

이어, 인코딩된 증거 데이터와 생성된 해쉬값은 WORM 기능을 지원하는 저장부에 보존되는 과정이 수행된다(S550). Subsequently, the encoded evidence data and the generated hash value are stored in a storage unit supporting the WORM function (S550).

이후, 버퍼(119) 내에 처리할 데이터가 존재하지 않으면, 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정과 관련된 일련 모든 프로세스가 종료된다.Thereafter, if there is no data to process in the buffer 119, all the processes related to the collection and storage process of the preservation data included in the evidence data are terminated.

도 5의 실시 예에서는, 도 2의 보존 데이터의 수집 및 저장과정에 대해 설명하였으나, 설계에 따라 도 2의 관리 데이터에 대해서도 도 5의 수집 및 저장 과정이 동일하게 적용될 수 있다.In the embodiment of FIG. 5, the collection and storage process of the preservation data of FIG. 2 has been described. However, the collection and storage process of FIG. 5 may be equally applied to the management data of FIG. 2 according to a design.

이상 설명한 바와 같이, 종래의 사이버 공격에 대한 대응은 침해사고의 원인분석에 수개월 이상이 소요되고, 공격원인 분석에 필요한 정보가 남지 않기 때문에 침해사고를 인지한 후에도 공격원인을 알 수 없었으나, 본 발명은 네트워크 트래픽으로부터 전체 패킷 데이터, 플로우 데이터 및 PE 파일 등을 증거 데이터로서 수집하여 이를 장기간 보존할 수 있는 저장 매체에 저장함으로써, 저장 매체에 보존된 증거 데이터를 기반으로 신속하게 침해사고의 원인을 분석할 수 있다.As described above, the response to the conventional cyber attack takes several months or more to analyze the cause of the infringement incident, and since the information necessary for analyzing the cause of the infringement is not left, the cause of the invasion was not known even after the infringement incident was recognized. The present invention collects entire packet data, flow data, and PE files from network traffic as evidence data and stores them in a storage medium capable of long-term preservation, thereby promptly identifying the cause of an infringement incident based on the evidence data stored in the storage medium. Can be analyzed.

본 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Those skilled in the art will appreciate that the present invention can be implemented in other specific forms without changing the technical spirit or essential features. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.

Claims (15)

사이버 침해 사고에 대한 증거 데이터 수집방법에 있어서,
모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 단계;
상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터의 묶음을 플로우 데이터로서 추출하는 단계;
상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터의 묶음을 PE 파일로 추출하는 단계;
상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 버퍼에 임시 저장하여 수집하는 단계;
상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각에 해쉬 함수를 적용하여 해쉬값을 생성하는 단계; 및
상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장부에 저장하는 단계;를 포함하고,
서버가, 상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각을 요약한 요약 데이터를 기반으로 상기 저장부에 접근하여 사이버 공격 시점에 수집된 상기 증거 데이터를 검색하는 단계;
상기 서버가, 검색된 상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 기반으로 공격 시간, 공격을 가한 IP 주소를 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하는 단계; 및
상기 서버가, 상기 구성된 공격 시나리오에 따라 해당 침해 사고를 GUI를 통해 재현하는 단계
를 더 포함하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
In the method of collecting evidence data on the cyber incident,
Extracting full packet data from the monitored network traffic;
Analyzing packet data having the same characteristics as flow data by analyzing the extracted packet data for each IP, port, and protocol;
Extracting a bundle of packet data having a Portable Executable (PE) format from the extracted entire packet data into a PE file;
Temporarily storing the extracted entire packet data, the flow data, and the PE file in a buffer and collecting the extracted packet data;
Generating a hash value by applying a hash function to each of the temporarily stored total packet data, the flow data, and the PE file; And
Storing the generated hash value, the temporarily stored total packet data, the flow data, and the PE file as the evidence data in a storage unit;
Searching, by the server, the evidence data collected at the time of cyber attack by accessing the storage unit based on the summary data summarizing each of the entire packet data, the flow data, and the PE file;
The server extracts an attack time and an attacked IP address based on the found hash value, the temporarily stored total packet data, the flow data, and the PE file, and based on the extracted information, an attack scenario is extracted. Constructing; And
Reproducing, by the server, the breach incident according to the configured attack scenario through a GUI
Evidence data collection method for a cyber infringement incident further comprising.
제1항에 있어서, 상기 수집하는 단계는,
사전에 설정된 수집 시간 단위로 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 상기 버퍼에 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the collecting step,
And storing the extracted entire packet data, the flow data, and the PE file in the buffer in units of a predetermined collection time.
제1항에 있어서, 상기 패킷 데이터의 묶음은,
PCAP(packet capture) 포맷 형태의 파일임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the bundle of packet data is
Evidence data collection method for cyber infringement, characterized in that the file in PCAP (packet capture) format.
제3항에 있어서, 상기 버퍼에 임시 저장된 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 인코딩하는 단계를 더 포함하고,
상기 인코딩하는 단계는,
상기 파일 단위로 인코딩됨을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
4. The method of claim 3, further comprising encoding the extracted full packet data, the flow data, and the PE file temporarily stored in the buffer.
The encoding step,
Evidence data collection method for cyber infringement incident, characterized in that encoded in the file unit.
제1항에 있어서, 상기 저장하는 단계는,
상기 증거 데이터를 WORM(Write Once Read Many) 기능을 지원하는 상기 저장부에 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the storing step,
And storing the evidence data in the storage unit supporting a write once read many (WORM) function.
제1항에 있어서, 상기 저장하는 단계는,
상기 PE 파일의 메타 데이터를 상기 저장부에 더 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the storing step,
And storing the meta data of the PE file in the storage unit.
사이버 침해사고에 대한 증거 데이터를 수집하고, 수집된 증거 데이터를 기반으로 상기 사이버 침해사고에 대한 원인을 분석하는 사이버 블랙박스 시스템에 있어서,
모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부; 및
상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함하고,
상기 서버는,
상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 공격 시간, 공격을 가한 IP 주소를 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하고, 상기 구성된 공격 시나리오에 따라 상기 사이버 침해 사고를 GUI를 통해 재현하는 것인 사이버 블랙박스 시스템.
In the cyber black box system for collecting evidence data on cyber infringement, and analyzing the cause of the cyber infringement based on the collected evidence data,
A data collector configured to collect entire packet data, flow data, and PE (Portable Executable) file from the monitored network traffic; And
A server for analyzing the cause of the cyber infringement incident and reproducing the cyber infringement incident based on the collected total packet data, flow data, and PE file,
The server,
Based on the collected packet data, flow data and PE file, the attack time and the attacked IP address are extracted, the attack scenario is configured based on the extracted information, and the cyber breach incident is generated according to the configured attack scenario. Cyber black box system that reproduces through the GUI.
제7항에 있어서, 상기 데이터 수집부는,
상기 모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 패킷 추출부;
상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터를 플로우 데이터로서 추출하는 플로우 데이터 추출부;
상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터를 PE 파일로 추출하는 PE 파일 추출부; 및
상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장하는 저장부를 포함하는 사이버 블랙박스 시스템.
The method of claim 7, wherein the data collection unit,
A packet extracting unit extracting entire packet data from the monitored network traffic;
A flow data extracting unit extracting packet data having the same characteristics as flow data by analyzing the extracted packet data for each IP, port and protocol;
A PE file extracting unit for extracting packet data having a PE (Portable Executable) format from the extracted entire packet data into a PE file; And
And a storage unit for storing the entire packet data, the flow data, and the PE file as the evidence data.
제8항에 있어서, 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 인코딩하는 인코딩부를 더 포함하고,
상기 저장부는,
상기 인코딩된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, further comprising an encoding unit for encoding the extracted full packet data, the flow data and the PE file,
The storage unit,
And storing the encoded full packet data, the flow data, and the PE file.
제8항에 있어서, 상기 저장부는,
WORM(Write Once Read Many) 기능을 지원하는 저장매체임을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, wherein the storage unit,
Cyber black box system characterized by a storage medium that supports the WORM (Write Once Read Many) function.
제8항에 있어서, 일정 수집 시간 단위로 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 임시 저장하는 버퍼를 더 포함함을 특징으로 하는 사이버 블랙박스 시스템.
The cyber black box system of claim 8, further comprising a buffer configured to temporarily store the extracted entire packet data, the flow data, and the PE file in units of a predetermined collection time.
제11항에 있어서, 상기 저장부는,
상기 버퍼에 일정 수집 시간 단위로 임시 저장된 상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 11, wherein the storage unit,
The cyber black box system, characterized in that for storing the entire packet data, the flow data and the PE file temporarily stored in a predetermined collection time unit in the buffer.
제8항에 있어서, 상기 저장부는,
상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 PCAP(Packet CAPture)포맷형태의 파일로 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, wherein the storage unit,
And storing the entire packet data, the flow data, and the PE file in a file having a packet capture (PCAP) format.
제8항에 있어서, 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각에 해쉬 함수를 적용하여 각각의 해쉬값을 생성하는 해쉬값 생성부를 더 포함함을 특징으로 하는 사이버 블랙박스 시스템.
The cyber black box system of claim 8, further comprising a hash value generator configured to generate a hash value by applying a hash function to each of the extracted entire packet data, the flow data, and the PE file.
제14항에 있어서, 상기 저장부는,
상기 해쉬값을 증거 데이터로서 저장함을 특징으로 하는 사이버 블랙박스 시스템.The method of claim 14, wherein the storage unit,
The cyber black box system, characterized in that for storing the hash value as evidence data.
KR1020150006016A 2015-01-13 2015-01-13 Cyber blackbox system and method thereof KR102059688B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150006016A KR102059688B1 (en) 2015-01-13 2015-01-13 Cyber blackbox system and method thereof
US14/937,498 US20160205118A1 (en) 2015-01-13 2015-11-10 Cyber black box system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150006016A KR102059688B1 (en) 2015-01-13 2015-01-13 Cyber blackbox system and method thereof

Publications (2)

Publication Number Publication Date
KR20160087187A KR20160087187A (en) 2016-07-21
KR102059688B1 true KR102059688B1 (en) 2019-12-27

Family

ID=56368362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150006016A KR102059688B1 (en) 2015-01-13 2015-01-13 Cyber blackbox system and method thereof

Country Status (2)

Country Link
US (1) US20160205118A1 (en)
KR (1) KR102059688B1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101865690B1 (en) * 2016-08-04 2018-06-12 주식회사 시큐다임 security monitoring system and method of network for visibility of HTTPS-based connection
WO2018097344A1 (en) * 2016-11-23 2018-05-31 라인 가부시키가이샤 Method and system for verifying validity of detection result
KR102032249B1 (en) * 2018-07-30 2019-10-15 고려대학교 세종산학협력단 Method and Apparatus for Seed based Malicious Traffic Detection using Deep-Learning
TWI715036B (en) * 2019-05-15 2021-01-01 宏碁股份有限公司 File verification method, file verification system and file verification server
US11477223B2 (en) * 2020-01-15 2022-10-18 IronNet Cybersecurity, Inc. Systems and methods for analyzing cybersecurity events

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114706A1 (en) * 2003-11-26 2005-05-26 Destefano Jason Michael System and method for the collection and transmission of log data over a wide area network
US20130227689A1 (en) * 2012-02-17 2013-08-29 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
JP4838631B2 (en) * 2006-05-17 2011-12-14 富士通株式会社 Document access management program, document access management apparatus, and document access management method
US8112801B2 (en) * 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
KR101404108B1 (en) * 2008-12-10 2014-06-10 한국전자통신연구원 Windows Executable File Extraction Method by using Hardware based Session Matching and Pattern Matching and apparatus using the same
KR101345740B1 (en) * 2012-02-22 2013-12-30 박원형 A malware detection system based on correlation analysis using live response techniques
KR101498696B1 (en) * 2013-04-26 2015-03-12 주식회사 넷커스터마이즈 System and method for detecting harmful traffic
US9686312B2 (en) * 2014-07-23 2017-06-20 Cisco Technology, Inc. Verifying network attack detector effectiveness

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114706A1 (en) * 2003-11-26 2005-05-26 Destefano Jason Michael System and method for the collection and transmission of log data over a wide area network
US20130227689A1 (en) * 2012-02-17 2013-08-29 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks

Also Published As

Publication number Publication date
KR20160087187A (en) 2016-07-21
US20160205118A1 (en) 2016-07-14

Similar Documents

Publication Publication Date Title
KR102059688B1 (en) Cyber blackbox system and method thereof
US9910727B2 (en) Detecting anomalous accounts using event logs
US10084816B2 (en) Protocol based detection of suspicious network traffic
Maier et al. Enriching network security analysis with time travel
US20180075240A1 (en) Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
CN107347057B (en) Intrusion detection method, detection rule generation method, device and system
US20160234238A1 (en) System and method for web-based log analysis
WO2018032936A1 (en) Method and device for checking domain name generated by domain generation algorithm
WO2015158194A1 (en) Dns security system and method thereof for processing a failure
US20200287920A1 (en) Endpoint network traffic analysis
Radoglou-Grammatikis et al. Implementation and detection of modbus cyberattacks
CN109255237B (en) Security event correlation analysis method and device
JP2016508353A (en) Improved streaming method and system for processing network metadata
CN110958231A (en) Industrial control safety event monitoring platform and method based on Internet
CN111835680A (en) Safety protection system of industry automatic manufacturing
CN113225339B (en) Network security monitoring method and device, computer equipment and storage medium
CN105577670A (en) Warning system of database-hit attack
CN111800405A (en) Detection method, detection device and storage medium
CN111726364A (en) Host intrusion prevention method, system and related device
CN112769775A (en) Threat information correlation analysis method, system, equipment and computer medium
US9380067B2 (en) IPS detection processing method, network security device, and system
CN111786990B (en) Defense method and system for WEB active push skip page
CN111884883A (en) Quick auditing processing method for service interface
Choi et al. Introduction to a network forensics system for cyber incidents analysis
CN114760083B (en) Method, device and storage medium for issuing attack detection file

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right